2022年、あけましておめでとうございます。新年一発目のブログは今年も2022年の目標を書いていきます。
昨年の目標とその結果については以下の通り。

hitsumabushi845.hatenablog.com

hitsumabushi845.hatenablog.com

では、スタート！

おしごと関連の目標

ここからはおしごと関連の目標を書いていく。

(継続)資格を取る

今年は以下の資格取得を目標とします。上から順に優先順位が高い。

• Certified Kubernetes Security Specialist
  昨年 CKA/CKAD を取得し、受検資格を得たので。これは3月までには取っておきたい。
• Google Cloud 認定 Associate Cloud Engineer
  昨年1年間、GCP を触っていたのでとりあえず Associate くらいは取ろうかなーと思っている。Udemy で問題集を購入済み（積んでいる）なので、さほどコストはかからないと思うが果たして。
• AWS Certified Developer Associate
  昨年 SAA を取得したので、引き続き DVA が取れるといいなぁと思っている。
• Certified OCI Architect Associate
  昨年 OCI を触っていたのと、3月末まで受検料無料キャンペーンをやっているので。正直これは気が向いたら取るくらいの感じ。

(継続)Go をちゃんとやる

昨年雰囲気程度に書けるようになった Go だが、雰囲気で進めすぎてよくわかっていないままなので、以下の本をベースに勉強していきたい。

www.oreilly.co.jp

趣味関連の目標

ここからはおしごとの関連しない個人的な目標を書いていく。

(新規)JGC 修行をする

昨年はかなり国内線の飛行機に乗った1年だった。おかげさまで JAL 関連の事柄に興味が出たので、JGC(JAL Global Club)入会資格を得るための修行をやろうとおもう。
2022年も引き続き海外には行けない気配があるので、国内を軽率に飛び回るのも最後のチャンスだと思っているし、20代限定の CLUB EST で JAL カードを作れるのもあとわずかなので。

というわけで昨年末に JAL カードを作り、準備万端。JMB ステータスはそこまで興味ないので、春夏あたりで HND-OKA 大量往復をやるつもりでいる。

(新規)英会話をちゃんとやる

英語の読み書きは学生時代の勉強や研究と会社での業務、リスニングは元々好きな洋楽や洋画を見聞きし続けていることである程度伸ばすことができている。一方でスピーキングについては機会がそこまでないので伸び悩んでいる。
先日英語で面談をする機会があり、なんとかコミュニケーションを取ることはできたものの、もう少しスムーズに口から英語を出せるようになっておきたい。

というわけで、今年中には何らかのオンライン英会話サービスに登録すると思います。Cambly とか。

おわりに

ほかにもスノーボードがもっと上手くなりたいとか、ギターがもっと上手くなりたいとか、具体的な到達点が思いつかないものもあるが、とりあえず今年はこの辺を目標に生きていこうと思います。

...その前に目の前のタスクとしてはじめての確定申告を控えているので、これを倒さないと先に進めないなあ。
今年も1年よろしくお願いします。

今年も買ってよかったものをつらつら書いていきます。

おしごと関係

MacBook Pro 16 inch

www.apple.com

MacBook Pro をようやく買い換えました。
今まで使っていたやつは 5 年前に買った Late 2016 モデルで、あの悪名高い TouchBar が初めて搭載されたモデルです。今回ついに TouchBar が完全に廃止と相成りました。
TouchBar が廃止になったから買い換えたわけではなく、5年使ってもういい加減限界を迎えてきたので。Terraform が正常に動かないとか、カメラが急に死ぬとか、バッテリーが一瞬でなくなるとか、いろいろ問題を抱えてたわけです。

カスタマイズ内容としては RAM を 32 GB にして、ストレージを 1 TB にしました。それに Apple Care をつけるだけであっさり 40 万円になってしまうのはどういうことなんですかね。

前評判通り Apple Silicon はバッテリーの持ちが良く、ちょっと出かける程度であれば電源ケーブルを持ち歩かなくてよくなった。また発熱も少なく、バッテリー電源でゴリゴリ作業してても熱くならないのは良い。

めがね

今年はめがね沼につま先程度突っ込んだ年でした。
きっかけは春先にふらっと鯖江に行ったことで、そこの田中眼鏡 というお店でのめがね購入体験がよかった。

ここはいわゆるよくあるめがね屋さんと違って、店頭にはフレームがそこまで並んでいません。
ではどうやってめがねを選ぶのかというと、ハリーポッターのオリバンダーの店よろしく店主がフレームを見繕ってくれるのであった。お店の方に欲しいめがねの方向性を伝えると棚からどんどんフレームを出してくれます。

そこで買っためがねは下の2本。このときはせっかく鯖江に来たのでということで、珍しめのフレームが欲しいという条件で見繕ってもらった。

この投稿をInstagramで見る

ピの人(@kentskind)がシェアした投稿

こうして、それまでコンタクトレンズ派だったぼくはこれをきっかけにめがね派になるのであった。

その後、その田中眼鏡さんで教えてもらった吉祥寺の opteria-Glassias でまためがねを購入した。 opteria-Glassias さんは検眼に力を入れているお店ということで、1時間以上かけて最適なレンズを決めてくれるとのことであった。 そのためここでは仕事用(PC 用)のめがねを買うこととした。

この投稿をInstagramで見る

ピの人(@kentskind)がシェアした投稿

そうして買っためがねがこれ。

このめがねは 25% 緑色をいれたカラーレンズになっていて、傍から見るとほぼサングラスなのだが、これがディスプレイの光量を抑えてくれて目が楽。他にもプリズムが入っていたりと、とにかく作業していて目が疲れないようになっている。今となってはこのめがね無しで PC の画面をみるのはつらい。

PC 用めがねということで矯正視力が 0.8 程度と抑えめになっているが、屋内であればこのめがねで支障はないので自宅用めがねとして利用している。

各種 Udemy 講座

今年は資格を3つ取得できました。それぞれ CKAD, CKA, AWS SAA ですが、どれも Udemy の講座に大変お世話になりました。買ってよかった。

• Kubernetes Certified Application Developer (CKAD) with Tests
• Kubernetes Certified Administrator (CKA) with Practice Tests
• AWS のやつ（これは買ったの今年じゃないかも）
  • https://www.udemy.com/course/aws-associate/
  • https://www.udemy.com/course/aws-knan/

音楽関係

ギターのレッスン

買ったものではないけれども、お金を払ったものとして。
今年からギターを習い始めました。長らく独学で続けてきたけれど、体系的に教わりたいと思い調べたところ徒歩2分の距離にプライベートスタジオでレッスンをやっている講師の方を見つけたので。

独学では好きな曲だけを弾くといったやり方になりがちだけど、レッスンだと基礎練習をしっかりできるのでよい。また弾き方など「これで合ってるんだろうか？」となる部分をレッスンの際に訊くことが出来るのもよい。

主な教本はこれ。つらい。うまくなりたい！

www.rittor-music.co.jp

Audient iD22

allaccess.co.jp

ギターのレッスンを受けるようになり、改めておうちギター環境を整えようと購入。
周りの音楽やってる人がおすすめしてたので買った。

物理的なダイアルで音量を調整できるのもよいし、ボタンひとつでセンターの音をカットできるのもよい。
入力が2チャンネルあるので、ひとつはギター、もうひとつはマイクにしている。マイクは Web ミーティングで使用するため。

Transcribe! for Mac

www.seventhstring.com

ギターの耳コピに活躍するソフト。
指定した範囲のループや速度変化させて再生など、特定のフレーズを集中して練習や耳コピする際に重宝している。

上述した iD22 のセンターカットと組み合わせると耳コピがはかどる。

BIAS FX 2

昨年 Amplitube を買ったのだが、どうも周りを見ていると最近は BIAS を利用している人が多いらしいので。これは iD22 を買ったときに得たサウンドハウスのポイントで買ったのでほぼ無料。

プリセットがダウンロードできたり、Guitar Match で別のギターの音をエミュレートできたり、楽しい。 豊富な機能を全然使いこなせてないが、まあ人気のプリセットをダウンロードして弾くだけでも十分楽しめている。

スノーボード関連

これはまだ実際に使ってないので、別記事として後日（来年？）書く。

そのほか

Anker PowerCore Fusion 10000

Anker PowerCore Fusion 10000www.ankerjapan.com

出かけるときのモバイルバッテリー兼自宅用充電器。普段はベッドサイドの充電器として使用していて、出かけるときは引っこ抜いてそのままカバンに放り込むだけでいいのでとても楽。

普通のモバイルバッテリーだと充電を忘れたりするが、充電器兼用なので充電を忘れることがない。

引き続き、『Kubernetes Certified Administrator (CKA) with Practice Tests』を進めていく。
今回は Section 10: Design and Install a Kubernetes Cluster と Section 11: Install "Kubernetes the kubeadm way"。

Section 10: Design and Install a Kubernetes Cluster

• Design a Kubernetes Cluster
  • どういうクラスタを作るのか
  • 目的: 勉強用？開発用？本番用？
    • 勉強用なら minikube とか、小さめのクラスタをクラウドで作るとか
    • 開発用なら 1-Master, n-Worker
    • 本番用だと HA 構成がいるよね（multi-master nodeとか）
  • プラットフォーム: クラウド？オンプレ？
    • オンプレなら kubeadm
    • GCP なら GKE, AWS なら Kops, Azure なら AKS
  • ワークロード: どれくらいの規模のアプリケーションが動くのか？アプリケーションの内容は？CPU, メモリの利用は？トラフィックは？
• Choosing Kubernetes Infrastructure
  • クラスタをどこにホストするか
  • 手元のマシンなら minikube とか、kubeadm とか
  • プライベートなサーバにセットアップするなら、OpenShift, VMware Cloud PKS, Vagrant とかで
  • クラウド使うなら GKE, AKS, EKS とか
• Configure High Availability
  • Control plane が 1 台のみで構成されていると、そのマシンが壊れたときに困るので、HA 構成を取ろう
  • HA 構成の Control plane では、複数の Master Node がそれぞれ同じコンポーネントを持つ
  • API Server もそれぞれに居るため、API call を振り分けるため前段に LB を配置することが望ましい（nginx, HA proxy, etc...など）
  • Controller Manager, Scheduler も同様だが、こちらは各 Node で走っていると意図しない Pod の作成などが行われてしまうので、1 つだけ Active にし、他は Standby にする。
    • これは leader-election process によって制御される
    • kube-controller-manager/kube-scheduler の引数に --leader-elect true を指定すると、kube-controller-manager Endpoint のリース取得有無でリーダーが選出される
    • --leader-elect-lease-duration duration: リース期間
    • --leader-elect-renew-deadline duration: リース更新にかかる時間の最大値
    • --leader-elect-retry-period duration: リーダーシップの獲得を試みる間隔
    • https://speakerdeck.com/daikurosawa/leader-election-in-kubernetes-number-k8sjp
  • ETCD
    • ETCD の HA 構成は2種類ある
      • Stacked Topology: Master Node 内に ETCD を構築する
        • pros: Node が少なくすむ、管理が楽
        • cons: Node のトラブル時に etcd も影響を受ける
      • External ETCD Topology: 異なるノードに ETCD を分離して、独立に構築する
        • pros: リスクを低減する
        • cons: セットアップがつらい、Node が増える
        • kube-apiserver が見に行く etcd のエンドポイントは --etcd-servers で指定できる
• ETCD in HA
  • ETCD について
    • 分散型KVS
    • 分散
      • クラスタ構成をとれる
      • いかなるノードへのR/Wでもクラスタ全体での一貫性が保たれる
      • leader election が行われており、Write は常に leader から全ノードに対して行われる
    • leader election - RAFT
      • etcd のリーダー選出は RAFT というアルゴリズムで行われている
      • 最初に各ノードはランダムタイマーをもっていて、最初にタイマーが終わったノードが他のノードにリーダー選出をリクエストする
      • あとは投票みたいな感じでリーダーが選ばれる
    • 書き込まれているデータは過半数優先（過半数に記録されているデータが正）
      • "過半数" なので、クラスタは3-nodes以上で構成することが望ましい（2-nodes以下だとノードが落ちたら終了する）
      • さらに 奇数-nodes が望ましい（クラスタが分断されたときにどこかは必ず生きる）
  • etcdctl
    • etcdctl put <key> <name>
    • etcdctl get <key>
• Important Update: Kubernetes the Hard Way
  • Hard Way もやるといいよ的な話。

Section 11: Install "Kubernetes the kubeadm way"

• Introduction to Deployment with Kubeadm
  • kubeadm での k8s クラスタ構築の概観
  • ステップ
    1. セットアップ対象のマシン/VMを用意する
    2. マシン/VM にコンテナランタイムをインストールする
    3. マシン/VM に kubeadm をインストールする
    4. Master Node を作成する
    5. Pod Network を作成する
    6. Worker Node をクラスタに参加させる
• Deploy with Kubeadm - Provision VMs with Vagrant
  • Vagrant でローカルにクラスタ用のVMを構築する方法について
• Demo - Deployment with Kubeadm
  • やってることは以前 Qiita に書いたことと同様だった。
• Practice Test - Deploy a Kubernetes Cluster using Kubeadm
  • 手順としては以前やった通りだが、1.22 での挙動でちょっと詰まったり、Practice Test 用の環境が 1.22 に即してなかったりでいろいろ詰まった。
  • このへんの Cgroup Driver のミスマッチなど。

Section 12: End to End Tests on a Kubernetes Cluster

この範囲は CKA の範囲から外されたので講座はなし。

引き続き、『Kubernetes Certified Administrator (CKA) with Practice Tests』を進めていく。 今回は Section 7: Security。扱う内容が多岐にわたり、ボリュームも大きいが、セキュリティ周りのトピックは新設された CKS に移動したため、今の CKA だとほとんど関係ない・・・？

Section 7: Security

• Kubernetes Security Primitives
  • k8s のセキュリティの概観について。
  • ノード（ホストするマシン）はパスワード認証でなく 鍵認証であるべき
  • Authentication
    • ID/Password
    • ID/Token
    • 証明書
    • LDAP
    • Service Accounts
  • Authorization
    • RBAC
    • ABAC
    • Node
    • Webhook
  • コンポーネント間の通信は TLS 化されている
  • Network Policies
• Authentication
  • クラスタにアクセスする人: クラスタ管理者、開発者、プログラム（bot）、エンドユーザー、etc...
  • クラスタ管理者と開発者はUser
    • kube-apiserver は API を処理する前に認証を行っている
    • 認証はパスワードファイル、トークンファイル、証明書、3rd party IDaaS
    • パスワードファイル
      • 非推奨
      • csv ファイルで管理されている
      • {password},{username},{user id},{group(optional)} 形式で記載されたファイルを kube-apiserver に読ませる
      • kube-apiserver の引数に --basic-auth-file=/path/to/users.csv と指定する
      • curl -v -k https://master-node:6443/api/v1/pods -u "user1:password123"
    • トークンファイル
      • 非推奨
      • パスワードファイルとほぼ同じ。
      • {token},{username},{user id},{group(optional)} 形式
      • --token-auth-file に指定する。
      • curl -v -k https://master-node:6443/api/v1/pods -H "Authorization: Bearer xxxx"
  • Bot user は ServiceAccount
• TLS
  • TLS Basics
    • 共通鍵暗号、公開鍵暗号、証明書(ルート証明書・サーバー証明書・クライアント証明書)、認証局などについて。
  • TLS in Kubernetes
    • k8s におけるホスト間の通信、ユーザーとkube-apiserver間の通信、そしてコンポーネント同士の通信は暗号化されている
    • これらはサーバ証明書とクライアント証明書によって成り立っている
      • kube-apiserver, etcd cluster, kubelet はサーバ証明書を持っている
      • kubectl を実行するユーザや、kube-apiserver と通信する kube-scheduler, kube-controller-manager, kube-proxy はクライアント証明書を持っている
        • kube-apiserver は etcd cluster, kubelet から見たときにクライアントなので、クライアント証明書も持つ（サーバ証明書と同一になることもある）
    • これらの証明書を発行するための認証局、ルート証明書も必要となる。
  • TLS in Kubernetes - Certificate Creation
    • 証明書を作る方法について。以下のツールがよく利用される。
      • easyrsa
      • openssl(この講座ではこちらを利用する)
      • cfssl(これは hard way で使ったな)
    • 認証局(CA)の作成
      • 認証局の秘密鍵を作成: openssl genrsa -out ca.key 2048
      • 証明書署名要求(CSR)を作成: openssl req -new -key ca.key -subj "/CN=KUBERNETES-CA" -out ca.csr
      • 証明書の発行: openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
    • クライアント証明書の作成(ex. Admin User)
      • 秘密鍵: openssl genrsa -out admin.key 2048
      • CSR: openssl req -new -key admin.key -subj "/CN=kube-admin/O=system:masters" -out admin.csr
      • 発行: openssl x509 -in admin.csr -CA ca.crt -CAkey ca.key -out admin.crt
      • CN(コモンネーム) がユーザーとして扱われ、O(組織) がグループとして扱われる。
        • 各種コンポーネントのクライアント証明書においては、CN, O は指定の値にする必要がある。
        • kubelet の場合は system:node:{nodeName}, kube-controller-manager の場合は system:kube-controller-manager...といった形に。
  • View Certificate Details
    • 証明書の場所は kubeadm で構築したクラスタの場合は static pod のマニフェストに引数として書いてある
    • *.crt ファイルの確認: openssl x509 -in /path/to/certificate.crt -text -noout
    • ログの確認
      • service log: journalctl -u xxx.service -l
      • pod log: kubectl logs xxx
      • kube-apiserver/etcd cluster が落ちている場合は Docker のログを直接: docker logs xxx
• Certificates API
  • ユーザーのクライアント証明書を作成するためのAPIが備わっている
  • クライアント証明書を作成したいユーザは秘密鍵とCSRを作成し、CSR から CertificateSigningRequest リソースを作成する。

apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: foo
spec:
  groups:
  - system:authenticated
  usages:
  - digital signature
  - key encipherment
  - server auth
  request:
    {base64 encoded csr}
  signerName: kubernetes.io/kube-apiserver-client

• KubeConfig
  • クラスタに対してAPIを実行するとき、APIエンドポイントの情報やクライアント証明書の情報が必要となる。curl で叩くときはこれらを指定しているが、kubectl から API を実行するときは kubeconfig ファイルを利用する。
  • デフォルトでは kubectl ~/.kube/config を見に行く。
    • $KUBECONFIG を指定することで $HOME/.kube/config 以外の kubeconfig を読み取り先にできる
  • kubeconfig は Clusters, Users, Contexts からできている。
    • Clusters: クラスタのAPIエンドポイント、CA証明書の情報を持つ
    • Users: ユーザとクライアント証明書の情報を持つ
    • Contexts: Cluster と User の組み合わせ
    • kubectl が利用するコンテキストは current-context フィールドに指定される。
  • kubeconfig の確認: kubectl config view
  • current-context の変更: kubectl config use-context {context name}
• API Groups
  • kubernetes API はいくつかのグループに分かれている
• Authorization
  • クラスタの利用者（管理者、開発者、Botユーザー...）ごとに権限を適切に分けたい
  • 認可方式(Authorization Mode)は以下がある
    • Node Authorization
      • kubelet は Node 上のリソースを管理（どのリソースを作るか、あるリソースがどのような状態か）するため、kube-apiserver にアクセスする。
      • これらの操作は Node Authorizer によって処理される
      • kubelet に指定した証明書では、グループを system:nodes, 名称を system:node:xxx とした。これらの名称を持つユーザは Node Authorizer で認可される。
    • ABAC(Attribute Based Access Control)
      • ABAC では、JSON 形式のポリシーファイルを作成し、許可される操作をユーザ毎に定義する。
      • これはユーザが追加される毎にこのファイルを編集し、かつ kube-apiserver の再起動が必要となる。
      • 不便なので、RBAC を使う。
    • RBAC(Role Based Access Control)
      • RBAC では、ロールを定義し、ユーザにロールを割り当てる。
      • ロールではどの操作が許可されているか定義されている。
    • Webhook
      • 認可を外部に任せる場合は、こちらを利用する。
    • AlwaysAllow
    • AlwaysDeny
      • 上記は認可をせずに全て許可/拒否をするモード。
  • Authorization Mode は、kube-apiserver の引数(--authorization-mode)に指定する。
    • デフォルトは AlwaysAllow
    • カンマ区切りで複数指定することもでき、複数指定した場合は指定した順番に認可が処理される。
• RBAC
  • ロールは Role リソースで作成する。 yaml
    • resourceName フィールドでさらに認可するリソースの名称で絞ることが可能
  • ユーザをロールに紐付けるには、RoleBinding リソースを作成する。
  • Role は namespace-wide なリソースであるため、Role が作成された namespace 内のリソースにのみ認可される。cluster-wide に認可するためには ClusterRole/ClusterRoleBinding を使用する。
  • 自分があるリソースに対する操作が可能か確認するコマンド: kubectl auth can-i {verb} {resource} [--as {user name}]

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: developer
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["list", "get", "create", "update", "delete"]
- apiGroups: [""]
  resources: ["ConfigMap"]
  verbs: ["create"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: devuser-binding
subjects:
- kind: User
  name: dev-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: developer
  apiGroup: rbac.authorization.k8s.io

• Cluster Roles and Cluster Role Bindings
  • Pod, Deployment, Job, Service, Secret, PVC... は namespace-wide。Node, PV, CSR, Namespace, そして ClusterRole, ClusterRoleBinding は cluster-wide なリソース。
  • 各リソースのスコープを確認したい場合は、kubectl api-resources --namespaced=true/false で。
  • Cluster Admin や Storage Admin のロールを作る場合は ClusterRole を作成する。
• Images Securely
  • Pod の実行に使用される Docker イメージについて。
  • image: nginx と指定された場合、docker.io/nginx/nginx から取得される。レジストリのエンドポイントやユーザ名を明示的に指定することで異なるレジストリから取得できる。
  • プライベートレジストリの場合、ログインが必要となる。認証情報は Secret で持つことができ、kubectl create secret docker-registry xxx --docker-server=private-registry.io --docker-username=foo --docker-password=bar --docker-email=foobar@example.com といった形で作成する。
  • これを Pod の imagePullSecrets セクションに指定することで認証を行える。
• Security Contexts
  • これは CKAD のときもやった。
  • runAsUser と capabilities について。
• Network Policies
  • これも CKAD のときにやった。

以上、Section 7: Security。
現在の試験範囲に含まれないトピックが多かったが、いずれも重要な要素なので勉強する意味はある（と言い聞かせないと困るくらいには時間がかかったセクションであった）。